VMware NSX fyrir litlu börnin. Hluti 5: Stilla álagsjafnvægi

Fyrsti hluti. inngangs
Partur tvö. Stilla eldvegg og NAT reglur
Þriðji hluti. Stillir DHCP
Fjórði hluti. Uppsetning leiðar

Síðast ræddum við um getu NSX Edge hvað varðar kyrrstöðu og kraftmikla leið og í dag munum við takast á við álagsjafnvægið.
Áður en við byrjum að setja upp vil ég minna stuttlega á helstu gerðir jafnvægis.

Теория

Allar burðarjöfnunarlausnir nútímans eru oftast skipt í tvo flokka: jöfnun á fjórða (flutnings) og sjöunda (nota) stigi líkansins EÐA EF. OSI líkanið er ekki besti viðmiðunarpunkturinn þegar verið er að lýsa jafnvægisaðferðum. Til dæmis, ef L4 jafnvægistæki styður einnig TLS uppsögn, verður það þá L7 jafnvægistæki? En það er það sem það er.

• Balancer L4 oftast er það miðþjónn sem stendur á milli viðskiptavinarins og mengi tiltækra bakenda, sem slítur TCP tengingum (þ.e. bregst sjálfstætt við SYN), velur bakenda og byrjar nýja TCP lotu í áttina og sendir SYN sjálfstætt. Þessi tegund er ein af grunntegundunum; aðrir valkostir eru mögulegir.
• Balancer L7 dreifir umferð um tiltæka bakenda „flóknari“ en L4 jafnvægisbúnaðurinn gerir. Það getur ákveðið hvaða bakenda á að velja byggt á, til dæmis, innihaldi HTTP skilaboðanna (URL, vafraköku osfrv.).

Óháð gerðinni getur jafnvægisbúnaðurinn stutt eftirfarandi aðgerðir:

• Þjónustuuppgötvun er ferlið við að ákvarða mengi tiltækra bakenda (Static, DNS, Consul, Etcd, osfrv.).
• Athugun á virkni greindra bakenda (virkt „ping“ bakendans með HTTP beiðni, óvirk uppgötvun vandamála í TCP tengingum, tilvist nokkurra 503 HTTP kóða í svörunum osfrv.).
• Jafnvægið sjálft (round robin, handahófsval, uppruna IP kjötkássa, URI).
• TLS uppsögn og staðfesting vottorðs.
• Öryggistengdir valkostir (sannvottun, DoS árásarvarnir, hraðatakmörkun) og margt fleira.

NSX Edge býður upp á stuðning fyrir tvær uppsetningarstillingar álagsjafnvægis:

Proxy háttur, eða einn armur. Í þessum ham notar NSX Edge IP-tölu sína sem upprunavistfang þegar beiðni er send til eins af bakendunum. Þannig framkvæmir jafnvægistækið samtímis aðgerðum uppruna og áfangastaða NAT. Bakendinn sér alla umferð sem send frá jafnvægisbúnaðinum og bregst beint við henni. Í slíku kerfi verður jafnvægisbúnaðurinn að vera í sama nethluta og innri netþjóna.

Svona gengur þetta:
1. Notandinn sendir beiðni á VIP heimilisfangið (jafnvægisfang) sem er stillt á Edge.
2. Edge velur einn af bakendunum og framkvæmir áfangastað NAT og kemur í stað VIP heimilisfangsins fyrir heimilisfang valda bakendans.
3. Edge framkvæmir uppruna NAT og kemur í stað heimilisfangs notandans sem sendi beiðnina fyrir sitt eigið.
4. Pakkinn er sendur í valinn bakenda.
5. Bakendinn bregst ekki beint við notandanum, heldur Edge, þar sem upprunalegu heimilisfangi notandans hefur verið breytt í heimilisfang jafnvægisaðilans.
6. Edge sendir svar þjónsins til notandans.
Skýringarmyndin er hér að neðan.


Gegnsætt, eða innbyggður, háttur. Í þessari atburðarás er jafnvægisbúnaðurinn með viðmót á innri og ytri netkerfum. Á sama tíma er enginn beinn aðgangur að innra neti frá því ytra. Innbyggði álagsjafnari virkar sem NAT gátt fyrir sýndarvélar á innra neti.

Fyrirkomulagið er sem hér segir:
1. Notandinn sendir beiðni á VIP heimilisfangið (jafnvægisfang) sem er stillt á Edge.
2. Edge velur einn af bakendunum og framkvæmir áfangastað NAT og kemur í stað VIP heimilisfangsins fyrir heimilisfang valda bakendans.
3. Pakkinn er sendur í valinn bakenda.
4. Bakendinn fær beiðni með upprunalegu heimilisfangi notandans (uppspretta NAT var ekki framkvæmt) og svarar henni beint.
5. Umferðin er aftur samþykkt af álagsjafnaranum, þar sem í innbyggðu kerfi virkar hún venjulega sem sjálfgefna gátt fyrir netþjónabúið.
6. Edge framkvæmir uppruna NAT til að senda umferð til notandans og notar VIP þess sem uppruna IP tölu.
Skýringarmyndin er hér að neðan.

Practice

Prófbekkurinn minn er með 3 netþjóna sem keyra Apache, sem er stilltur til að vinna yfir HTTPS. Edge mun framkvæma hringlaga jafnvægi á HTTPS beiðnum og senda hverja nýja beiðni til nýs netþjóns.
Byrjum.

Búa til SSL vottorð sem verður notað af NSX Edge
Þú getur flutt inn gilt CA vottorð eða notað sjálfundirritað. Fyrir þetta próf mun ég nota sjálfstætt undirritað.

1. Í vCloud Director viðmótinu, farðu í Edge þjónustustillingarnar.
   
2. Farðu í flipann Vottorð. Af listanum yfir aðgerðir skaltu velja að bæta við nýjum CSR.
   
3. Fylltu út nauðsynlega reiti og smelltu á Halda.
   
4. Veldu nýstofnaða CSR og veldu sjálfstætt CSR valmöguleikann.
   
5. Veldu gildistíma vottorðsins og smelltu á Halda
   
6. Sjálfundirritaða vottorðið birtist á listanum yfir þau sem eru tiltæk.
   

Setja upp umsóknarsnið
Forritasnið veita þér fullkomnari stjórn á netumferð og gera stjórnun hennar einfalda og skilvirka. Þeir geta verið notaðir til að skilgreina hegðun fyrir ákveðnar tegundir umferðar.

1. Farðu í Load Balancer flipann og virkjaðu jafnvægisbúnaðinn. Valkosturinn Hröðun virkt hér gerir jafnvægistækinu kleift að nota hraðari L4 jafnvægi í stað L7.
   
2. Farðu í Forritssnið flipann til að stilla forritasniðið. Smelltu á +.
   
3. Stilltu nafn sniðsins og veldu þá tegund umferðar sem sniðið verður notað fyrir. Leyfðu mér að útskýra nokkrar breytur.
   Þrávirkni – geymir og fylgist með lotugögnum, til dæmis: hvaða netþjónn í lauginni er að þjónusta notendabeiðnina. Þetta tryggir að notendabeiðnir séu sendar til sama hópmeðlims fyrir lífstíma lotunnar eða síðari lotur.
   Virkja SSL gegnumgang – Þegar þessi valkostur er valinn hættir NSX Edge að loka SSL. Þess í stað fer uppsögn beint á netþjóna sem eru í jafnvægi.
   Settu inn X-Forwarded-For HTTP haus – gerir þér kleift að ákvarða uppruna IP tölu viðskiptavinarins sem tengist vefþjóninum í gegnum álagsjafnarann.
   Virkjaðu SSL við sundlaugarhlið – gerir þér kleift að tilgreina að valinn hópur samanstendur af HTTPS netþjónum.
   
4. Þar sem ég mun koma jafnvægi á HTTPS umferð, þarf ég að virkja Pool Side SSL og velja áður myndað vottorð í Virtual Server Certificates -> Service Certificate flipann.
   
5. Svipað fyrir sundlaugarvottorð -> Þjónustuskírteini.
   

Við búum til laug af netþjónum, umferð sem verður jafnvægi laugar

1. Farðu í Laugar flipann. Smelltu á +.
   
2. Við stillum heiti laugarinnar, veljum reiknirit (ég mun nota round robin) og tegund eftirlits fyrir bakenda heilsuskoðunar. Gegnsætt valkosturinn gefur til kynna hvort upphafs IP-tölur viðskiptavina séu sýnilegar innri netþjónum.
   • Ef valkosturinn er óvirkur kemur umferð fyrir innri netþjóna frá uppruna-IP jafnvægisbúnaðarins.
   • Ef valkosturinn er virkur sjá innri netþjónar uppruna IP viðskiptavinarins. Í þessari uppsetningu verður NSX Edge að virka sem sjálfgefna gátt til að tryggja að skilaðir pakkar fari í gegnum NSX Edge.

   NSX styður eftirfarandi jafnvægisreiknirit:

   • IP_HASH – val á netþjóni byggt á niðurstöðum kjötkássaaðgerðar fyrir uppruna og áfangastað IP hvers pakka.
   • LEASTCONN – jafnvægi á komandi tengingum, allt eftir fjölda sem þegar er tiltækt á tilteknum netþjóni. Nýjum tengingum verður beint á netþjóninn með fæstum tengingum.
   • ROUND_ROBIN – nýjar tengingar eru sendar á hvern netþjón í röð, í samræmi við þyngdina sem honum er úthlutað.
   • URI – vinstri hluti URI (á undan spurningarmerkinu) er hashed og deilt með heildarþyngd netþjóna í lauginni. Niðurstaðan gefur til kynna hvaða netþjónn tekur við beiðninni og tryggir að beiðninni sé alltaf beint á sama netþjóninn, svo framarlega sem allir netþjónar eru tiltækir.
   • HTTPHEADER – jafnvægi byggt á tilteknum HTTP haus, sem hægt er að tilgreina sem færibreytu. Ef haus vantar eða hefur ekkert gildi er ROUND_ROBIN reikniritið notað.
   • URL - Hver HTTP GET beiðni leitar að færibreytu vefslóðar sem tilgreind er sem rök. Ef færibreytunni er fylgt eftir af jöfnunartákn og gildi, þá er gildinu hashað og deilt með heildarþyngd keyrandi netþjóna. Niðurstaðan gefur til kynna hvaða netþjónn tekur við beiðninni. Þetta ferli er notað til að halda utan um notendaauðkenni í beiðnum og tryggja að sama notendaauðkenni sé alltaf sent á sama netþjón, svo framarlega sem allir netþjónar eru tiltækir.

   

3. Í Members blokkinni, smelltu á + til að bæta netþjónum við hópinn.
   
   
   Hér þarf að tilgreina:
   • nafn þjóns;
   • IP tölu netþjóns;
   • höfnin sem þjónninn mun taka á móti umferð á;
   • höfn fyrir heilsuskoðun (Monitor healthcheck);
   • þyngd – með því að nota þessa færibreytu geturðu stillt hlutfallslega umferð sem berast fyrir tiltekinn meðlim í sundlauginni;
   • Hámarkstengingar – hámarksfjöldi tenginga við netþjóninn;
   • Lágmarkstengingar – lágmarksfjöldi tenginga sem þjónninn þarf að vinna úr áður en umferð er send til næsta hópmeðlims.

   
   
   Svona lítur lokahópurinn af þremur netþjónum út.
   

Bætir sýndarþjóni við

1. Farðu í sýndarþjóna flipann. Smelltu á +.
   
2. Við virkum sýndarþjóninn með því að nota Virkja sýndarþjón.
   Við gefum því nafn, veljum áður búið til umsóknarsnið, laug og tilgreinum IP töluna sem sýndarþjónninn mun fá beiðnir utan frá. Við tilgreinum HTTPS samskiptareglur og höfn 443.
   Valfrjálsar breytur hér:
   Tengingarmörk – hámarksfjöldi samtímis tenginga sem sýndarþjónninn getur unnið úr;
   Tengingarhlutfallstakmörk (CPS) – hámarksfjöldi nýrra beiðna á sekúndu.
   

Þetta lýkur uppsetningu jafnvægisbúnaðarins; þú getur athugað virkni hans. Netþjónarnir eru með einfalda uppsetningu sem gerir þér kleift að skilja hvaða netþjónn úr lauginni afgreiddi beiðnina. Við uppsetningu völdum við Round Robin jafnvægisreikniritið og Weight færibreytan fyrir hvern netþjón er jöfn einni, þannig að hver síðari beiðni verður unnin af næsta netþjóni úr lauginni.
Við sláum inn ytra heimilisfang jafnvægisbúnaðarins í vafranum og sjáum:


Eftir að hafa endurnýjað síðuna verður beiðnin afgreidd af eftirfarandi þjóni:


Og aftur - til að athuga þriðja netþjóninn úr sundlauginni:


Þegar þú athugar geturðu séð að vottorðið sem Edge sendir okkur er það sama og við bjuggum til í upphafi.

Athugar jafnvægisstöðu frá Edge gáttarborðinu. Til að gera þetta, sláðu inn sýna þjónustu loadbalancer pool.


Stillir þjónustuskjá til að athuga stöðu netþjóna í lauginni
Með því að nota Service Monitor getum við fylgst með stöðu netþjóna í bakenda lauginni. Ef svar við beiðni er ekki eins og búist var við er hægt að taka þjóninn úr lauginni þannig að hann fái engar nýjar beiðnir.
Sjálfgefið eru þrjár staðfestingaraðferðir stilltar:

• TCP-skjár,
• HTTP skjár,
• HTTPS-skjár.

Við skulum búa til nýjan.

1. Farðu í Þjónustueftirlit flipann, smelltu á +.
   
2. Veldu:
   • nafn fyrir nýju aðferðina;
   • millibili sem beiðnir verða sendar á,
   • biðtími eftir svari,
   • vöktunartegund – HTTPS beiðni með GET aðferð, væntanlegur stöðukóði – 200 (Í lagi) og beiðni um vefslóð.
3. Þetta lýkur uppsetningu á nýja þjónustuskjánum; nú getum við notað það þegar við stofnum laug.
   

Setja upp umsóknarreglur

Umsóknarreglur eru leið til að stjórna umferð út frá ákveðnum kveikjum. Með þessu tóli getum við búið til háþróaðar reglur um álagsjöfnun sem eru hugsanlega ekki mögulegar í gegnum forritasnið eða aðra þjónustu sem er í boði á Edge Gateway.

1. Til að búa til reglu, farðu í flipann Notkunarreglur í jafnvægisbúnaðinum.
   
2. Veldu nafn, skriftu sem mun nota regluna og smelltu á Halda.
   
3. Eftir að reglan er búin til þurfum við að breyta sýndarþjóninum sem þegar er stilltur.
   
4. Í Advanced flipanum skaltu bæta við reglunni sem við bjuggum til.
   

Í dæminu hér að ofan virkjum við tlsv1 stuðning.

Nokkur fleiri dæmi:

Beindu umferð í aðra laug.
Með þessu handriti getum við beint umferð yfir í annan jöfnunarpott ef aðallaugin er niðri. Til að reglan virki verða að stilla margar laugar á jafnvægisbúnaðinum og allir meðlimir aðallaugarinnar verða að vera í niðri stöðu. Þú þarft að tilgreina heiti laugarinnar, ekki auðkenni hennar.

acl pool_down nbsrv(PRIMARY_POOL_NAME) eq 0
use_backend SECONDARY_POOL_NAME if PRIMARY_POOL_NAME


Beindu umferð á ytri auðlind.
Hér beinum við umferð á ytri vefsíðuna ef allir meðlimir aðallaugarinnar eru niðri.

acl pool_down nbsrv(NAME_OF_POOL) eq 0
redirect location http://www.example.com if pool_down

Enn fleiri dæmi hér.

Það er allt fyrir mig um jafnvægisbúnaðinn. Ef þú hefur einhverjar spurningar skaltu spyrja, ég er tilbúinn að svara.

Heimild: www.habr.com